La protection des données personnelles, telles que défi nies par l’article 2 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi Informatique et libertés), doit être une préoccupation majeure des collectivités territoriales et de leurs dirigeants. C’est en effet un double tissu de responsabilités, administratives et pénales, qui encadrent leurs actions dans le domaine. À l’expérience, il apparaît qu’élus et fonctionnaires sont rarement conscients des véritables risques encourus ; ils doivent pourtant être très attentifs à ne pas traiter la gestion des données personnelles « à la légère ». Récemment modifiées par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, les dispositions de la loi du 6 janvier 1978 relatives au pouvoir de sanction de la Commission nationale de l’informatique et des libertés (CNIL) ont été largement complétées par un dispositif de sanctions pénales. Ce dispositif est issu de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 1 . Destinée à assurer la transposition en droit interne de la directive 95/46/CE du 24 octobre 1995 et à tirer les conséquences de plus de vingt ans de mise en œuvre de la loi Informatique et libertés, la loi du 6 août 2004 visait également à « veiller à ce que le niveau de protection dont bénéficient les citoyens soit maintenu et renforcé », notamment en matière pénale. Ce sont ces deux volets qui, tour à tour, seront envisagés pour sensibiliser les responsables territoriaux sur les risques et impératifs en la matière. En effet, comme l’énonce le guide de la CNIL qui leur est destiné, « les collectivités locales sont amenées à recourir de façon croissante aux moyens informatiques pour gérer les nombreux services dont elles ont la compétence : état civil, listes électorales, inscriptions scolaires, action sociale, gestion foncière et urbanisme, facturation de taxes et redevances, etc. » Les collectivités territoriales sont bien des « acteurs à risques » en la matière.
- Des sanctions administratives encadrées.
Ne seront envisagées ici que les sanctions susceptibles de concerner les agissements fautifs des personnes morales, de droit public ou de droit privé, ainsi que leurs responsables. Ainsi, ne seront pas traitées les sanctions pouvant impacter le correspondant à la protection des données par exemple.
Une procédure nécessairement contradictoire.
La loi du 6 janvier 1978, complétée en cela par le décret n° 2005- 1309 du 20 octobre 2005, vient encadrer – sous le contrôle du juge administratif – la procédure de sanction relevant de la CNIL.
Mise en demeure préalable – En premier lieu, lorsqu’un responsable d’un traitement de données à caractère personnel (le maire, le président de l’établissement public de coopération intercommunale, du département…) ne respecte pas ses obligations en matière de protection des données, et qu’une sanction autre que l’avertissement est susceptible d’être prononcée, la première étape consiste à ce que le président de la CNIL émette une mise en demeure de faire cesser le (ou les) manquement(s) aux obligations lui incombant en vertu de la loi, qui ont été constatés par la Commission. La mise en demeure doit aussi fixer le délai au terme duquel le responsable du traitement doit avoir fait cesser le (ou les) manquement(s) constatés. Ce délai ne peut, sauf urgence, être inférieur à dix jours, sans pour autant excéder trois mois. L’article 45 de la loi Informatique et libertés prévoit par ailleurs qu’en cas d’extrême urgence, « ce délai peut être ramené à vingt-quatre heures ». Si le responsable du traitement s’est conformé à la mise en demeure dans le délai imposé, le président de la CNIL clôt la procédure engagée.
Mise en œuvre de la procédure contradictoire – Dans l’hypothèse dans laquelle le responsable territorial n’aurait pas remédié aux manquements constatés, la formation restreinte de la CNIL est saisie aux fi ns de prononcer l’une des sanctions prévues à l’article 45 de la loi Informatique et libertés. Le président de la CNIL désigne alors un rapporteur n’appartenant pas à la formation restreinte et devant présenter toutes les garanties requises en matière de prévention des conflits d’intérêts et d’impartialité dans le traitement du dossier confié. En effet, il est chargé de rédiger le rapport prévu à l’article 46 de la loi, sur la base duquel la sanction pourra être prononcée. À cette fin, le rapporteur procède à toutes diligences nécessaires, pouvant consister, par exemple, en l’audition du responsable du traitement ou de toute autre personne dont l’audition lui paraît utile. Garantie de leurs droits, les personnes entendues peuvent être assistées d’un conseil de leur choix. Le rapport ainsi établi est tout à la fois notifié au responsable du traitement mis en cause et à la commission restreinte, chargée de prononcer la sanction. À compter de la notification dudit rapport, qui doit mentionner ce délai et préciser que le responsable du traitement peut prendre connaissance et copie des pièces du dossier auprès des services de la CNIL et se faire assister ou représenter par tout conseil de son choix, le mis en cause dispose d’un délai d’un mois pour transmettre au rapporteur et à la formation restreinte ses observations écrites. Il est ensuite informé de la date de la séance de la formation restreinte au cours de laquelle est inscrit son dossier ; il doit aussi se voir indiquer la faculté qui lui est offerte d’y être entendu, en personne ou par l’intermédiaire de son représentant. À cette occasion, lors de la séance, l’article 77 du décret du 20 octobre 2005 indique que le rapporteur peut présenter des observations orales sur l’affaire, de même – bien entendu – que le responsable mis en cause et, le cas échéant, son conseil, afin d’appuyer oralement leurs conclusions écrites. La formation restreinte peut également entendre toute personne dont elle estime l’audition utile. Dans tous les cas, le responsable du traitement et, le cas échéant, son conseil bénéficient du « dernier mot » ; ils doivent pouvoir prendre la parole en dernier. Si la commission restreinte décide de sanctionner, la décision doit énoncer les considérations de droit et de fait sur lesquelles elle est fondée, ainsi que les délais et voies de recours.
Des sanctions potentiellement lourdes pour les collectivités territoriales
Résidant tout à la fois dans le prononcé de sanctions principales et de sanctions complémentaires, la compétence répressive de la CNIL est soumise au contrôle étroit du juge administratif.
Sanctions principales et sanctions complémentaires – La formation restreinte de la CNIL peut ainsi prononcer, après une procédure contradictoire, trois types de sanctions. Il peut s’agir :
■ d’une part, d’un avertissement ;
■ d’autre part d’une sanction pécuniaire, dans les conditions pré- vues à l’article 47 de la loi Informatique et libertés ;
■ ou enfin, d’une injonction de cesser le traitement, lorsque celui-ci relève de l’article 22 (traitement automatisé soumis à déclaration préalable), ou d’un retrait de l’autorisation accordée en application de l’article 25 de la loi de 1978.
Si l’avertissement appelle peu de commentaires, force est de constater que la sanction financière prévue à l’article 47 peut se révéler lourde pour les administrations publiques. Ainsi, son montant doit être proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. Dans la fixation du quantum , la formation restreinte prend notamment en compte :
■ le caractère intentionnel ou de négligence du manquement ;
■ les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées ;
■ le degré de coopération avec la CNIL afin de remédier au manquement et d’atténuer ses effets négatifs éventuels ;
■ les catégories de données à caractère personnel concernées ;
■ et la manière dont le manquement a été porté à la connaissance de la Commission.
Peu rédhibitoire pour les grands groupes privés, la sanction financière peut s’avérer conséquente pour la sphère publique, même si le montant de la sanction ne peut excéder trois millions d’euros. En revanche, une sanction redoutée par tous les responsables semble bel et bien résider dans la capacité de la formation restreinte à rendre publiques les sanctions qu’elle prononce. Aux termes de l’article 46 de la loi Informatique et libertés, elle peut ainsi ordonner que les personnes sanctionnées informent individuellement de cette sanction, à leur frais, chacune des personnes concernées. Elle peut également ordonner son insertion dans des publications, journaux et supports qu’elle désigne aux frais des personnes sanctionnées. Le contentieux administratif de ces mesures révèle en effet qu’à côté de la dimension financière de la répression – souvent modeste – les responsables sanctionnés craignent surtout cette mauvaise publicité faite de leurs pratiques en matière de gestion de données personnelles.
Procédure d’urgence – Conformément à l’article 45, II, si la mise en œuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés consacrés à l’article 1er de la loi de 1978, la formation restreinte, saisie par le président de la CNIL, peut, dans le cadre d’une procédure d’urgence et après une procédure contradictoire :
■ décider l’interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois ;
■ prononcer un avertissement ;
■ décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois ;
■ et informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée.
Il est à noter qu’en cas d’atteinte grave et immédiate aux mêmes droits et libertés, le président de la CNIL peut demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés.
Contrôle du juge – Le juge administratif contrôle les sanctions administratives prononcées par la CNIL à deux niveaux. En premier lieu, il va s’assurer que le caractère contradictoire de la procédure a bien été respecté par la commission restreinte. D’abord, le juge administratif a précisé que la formation restreinte de la CNIL, lorsqu’elle est saisie d’agissements pouvant donner lieu à l’exercice de son pouvoir de sanction, doit être regardée comme décidant du bien-fondé d’accusations en matière pénale au sens de la Convention européenne de sauvegarde des droits de l’homme (Conv. EDH). En conséquence, alors même qu’elle n’est pas une juridiction au regard du droit interne, « le moyen tiré de ce qu’elle aurait statué dans des conditions qui ne respecteraient pas le principe d’impartialité rappelé à l’article 6 de la Convention peut, eu égard à la nature, à la composition et aux attributions de cet organisme, être utilement invoqué à l’appui d’un recours formé devant le Conseil d’État à l’encontre de sa décision ». En l’espèce, le Conseil d’État estime que la procédure suivie ne méconnaît pas le principe d’impartialité, aux motifs notamment de la séparation des fonctions d’instruction et de sanction au sein de la CNIL et du respect du principe du contradictoire. La séparation entre les fonctions d’instruction et de sanction semble constituer un point central dans le contrôle de la procédure par le juge. Récemment, le Conseil d’État n’a pas hésité à préciser que si les exigences de l’article 6 de la Conv. EDH s’appliquaient seulement à la procédure de sanction stricto sensu , et non à la phase préalable d’enquête, « elles nécessitent toutefois que, lors du déroulement de la phase préalable, il ne soit pas porté une atteinte irrémédiable aux droits de la défense des personnes auxquelles des griefs sont ensuite notifiés ». En second lieu, ce contrôle sur le caractère contradictoire de la procédure de sanction se double d’un contrôle de proportionnalité de cette dernière. Il ressort de la jurisprudence que la sanction prononcée doit être proportionnée au regard de la nature et de la gravité des manquements constatés. Ce contrôle conduit le juge à prendre en compte l’ensemble des circonstances de fait et de droit de l’espèce. Le contrôle juridictionnel porte tout autant sur la sanction complémentaire de publicité de la sanction principale.
À titre d’illustration, alors que la sanction infligée avait été validée dans son fondement par le Conseil d’État, au motif que le courriel litigieux – adressé par le directeur d’un théâtre à l’ensemble des abonnés d’une ville avant les élections municipales de 2014 – « revêtait le caractère d’une communication politique », il annule néanmoins la décision de publication de la décision, car visant à renforcer le caractère dissuasif de la sanction principale, elle est elle-même soumise au principe de proportionnalité. Or, constate le juge, en omettant de fixer la durée pendant laquelle la publication de l’avertissement infligé resterait accessible de manière non anonyme, la CNIL a infligé « une sanction sans borne temporelle », considérée « dans cette mesure, comme excessive ».
- Un arsenal répressif conséquent.
Ce dispositif répressif, dans son principe, est prévu à l’article 50 de la loi du 6 janvier 1978, aux termes duquel « les infractions aux dispositions de [la loi de 1978] sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal ». En complément, l’article 51 de la même loi prévoit que le fait d’entraver l’action de la CNIL est puni d’un an d’emprisonnement et de 15 000 € d’amende. Il faut y insister, car nombreux sont encore les responsables locaux qui ne mesurent pas que les demandes d’informations de la CNIL ou que les tentatives de dissimulation de documents ou renseignements relèvent de cette infraction. Par ailleurs, l’article 52 de la loi Informatique et libertés organise les relations entre la CNIL, le parquet et les juridictions. Les principales sanctions pénales concernent la collecte et le traitement des données, d’une part, et leur conservation et leur utilisation d’autre part. Ne seront pas abordées ici les incriminations relatives à la captation de données personnelles ou l’introduction ou la modification frauduleuse de données.
Les sanctions liées à la collecte et au traitement des données personnelles
En la matière, la principale infraction consiste dans le fait de procéder ou de faire procéder, fût-ce par négligence, à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables prévues par la loi Informatique et libertés. La sanction fixée correspond au « standard » répressif que la loi du 6 août 2004 avait introduit dans le code pénal pour ces manquements à la loi de 1978 constitutifs d’infractions, à savoir cinq ans d’emprisonnement et 300 000 € d’amende.
Par exemple, relève de cette incrimination le fait pour un employeur, public ou privé, de mettre en œuvre un système de vidéosurveillance non déclaré dans la structure. Il en va de même pour la collectivité qui constituerait un fichier concernant ses agents, à partir d’informations nominatives collectées par différents canaux.
Par ailleurs, encourt les mêmes sanctions le fait de procéder à un tel traitement sans prendre les mesures permettant de préserver la sécurité des données, et notamment celles destinées à empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. « L’honnêteté » des moyens de collecte des informations est également requise. Des données personnelles qui seraient ainsi récoltées par l’usage d’un moyen frauduleux, déloyal ou illicite ouvriraient également la voie à une peine de cinq ans d’emprisonnement et 300 000 € d’amende.
Les sanctions liées à la conservation et à l’utilisation des données personnelles
Les collectivités territoriales doivent être particulièrement attentives à ne pas conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, feraient notamment apparaître les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes. Il en va de même pour la conservation des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté, qu’un service « logement » ou un office public de l’habitat serait tenté de conserver pour « sélectionner » les bénéficiaires potentiels de ses prestations.
Négligence – Dans certains cas, c’est la simple négligence dans le traitement qui pourra conduire à un engagement de responsabilité pénale. Tel est notamment le cas lorsqu’un responsable d’un traitement automatisé conserve les données valablement collectées au-delà de la durée prévue par la loi de 1978 ou par la déclaration préalable transmise à la CNIL. Tel est aussi le cas de la divulgation par négligence – ceci justifiant une peine amoindrie – de données à caractère personnel qui aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, ou de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir.
Détournement de finalité – Enfin, le détournement de finalité est clairement sanctionné. Procédé sournois et trompeur, car se fondant sur un procédé légal de collecte et de conservation, il est durement réprimé. Tel est le cas par exemple de la consultation de données par un agent public dans le système de traitement des infractions constatées (STIC) et dans le fi chier national automobile (FNA) pour les exploiter à des fi ns personnelles ou pour les communiquer à des tiers en vue d’une exploitation commerciale 36 . Bien entendu, au-delà des responsabilités individuelles qui peuvent être recherchées, les personnes morales peuvent être déclarées financièrement mais aussi pénalement responsables, dans les conditions prévues à l’article 121-2 du code pénal. Sans parler des effets prévisibles de la nouvelle action de groupe en matière de protection des données à caractère personnel, telle qu’organisée par l’article 91 de la loi du 18 novembre 2016, et figurant désormais à l’article 43 ter de la loi du 6 janvier 1978…
Samuel DYENS – Avocat associé
Julia ROTIVEL – Avocat collaborateur